返回
放火墙体系结构介绍样本.docx

放火墙体系结构介绍样本.docx

ID:61901035

大小:15.23 KB

页数:7页

时间:2021-03-26

放火墙体系结构介绍样本.docx_第1页
放火墙体系结构介绍样本.docx_第2页
放火墙体系结构介绍样本.docx_第3页
放火墙体系结构介绍样本.docx_第4页
放火墙体系结构介绍样本.docx_第5页
资源描述:

《放火墙体系结构介绍样本.docx》由会员上传分享,免费在线阅读,更多相关内容在教育资源-天天文库

1、资料内容仅供您学习参考,如有不当或者侵权,请联系改正或者删除。防火墙体系结构堡垒主机1、什么是堡垒主机堡垒主机是内部网在Internet上的代表。能够把它比喻成一幢建筑物的大厅。外来人员进入大厅后并不能够立即上楼或进入电梯,但她能够在大厅内自由漫步,也能够索取一些信息(至于她能索取到什么信息或是否能索取到信息由大楼的安全规则而定)。像建筑物的大厅一样,堡垒主机对潜在的入侵者是公开的。堡垒主机是任何外来者(不论她是朋友还是敌人)都可连接的。连接它,防火墙内的系统可对外操作,外部网可获取防火墙内的服务。堡垒主

2、机是一种被强化的能够防御进攻的计算机,被暴露于因特网之上,作为进入内部网络的一个检查点(checkpoint),以达到把整个网络的安全问题集中在某个主机上解决,正由于这个原因,防火墙的建造者和防火墙的管理者应尽力给予其保护,特别是在防火墙的安装和初始化的过程中应予以仔细保护。虽然在这一章中及其它部分的讨论中都假设防火墙结构中只有一台堡垒主机,但在实际的防火墙结构中可能有几台堡垒主机,至于在堡垒主机中用几台堡垒主机应由各内部网的要求和资源状态决定。但每一台堡垒主机的设置都是依据相同的规则,用相同的技术来建立

3、的。堡垒主机经常与其它防火墙技术一起运用于防火墙结构中。本章的大多数内容将讨论堡垒主机的建立,而不论它是被用于基于包过滤、代理服务还是两种技术兼用的防火墙结构中,在本节中介绍的建立堡垒主机的步骤与原则也适用于保护其它主机。2、建立堡垒主机的一般原则资料内容仅供您学习参考,如有不当或者侵权,请联系改正或者删除。设计和建立堡垒主机的基本原则有二条:最简化原则和预防原则。1)最简化原则。堡垒主机越简单,对它进行保护就越方便。堡垒主机提供的任何网络服务都有可能在软件上存在缺陷或在配置上存在错误。而这些差错就可能使

4、堡垒主机的安全保障出问题。在构建堡垒主机时,应该提供尽可能少的网络服务。每一种网络服务都可能存在软件缺陷或配置错误,而任何缺陷都是潜在的安全威胁。因此在满足基本需求的条件下,在堡垒主机上配置的服务必须最少,同时对必须设置的服务给予尽可能低的权限。2)预防原则。尽管已对堡垒主机严加保护,但还有可能被入侵者破坏。对此你得有所准备。只有充分对最坏的情况加以准备,并设计好对策,才可有备无患。对网络的其它部分施加保护时,也应考虑到”堡垒主机被攻破怎么办”。我们强调这一点的原因非常简单,就是因为堡垒主机是外部网最易接

5、触的机器,由于外部网与内部网无直接连接,因此堡垒主机是试图破坏内部系统的入侵者首先攻击到的机器。要尽量保障堡垒主机不被破坏,但同时又得时刻提防”它一旦被攻破怎么办”。一旦堡垒主机被破坏,我们还得尽力让内部网仍处于安全保障之中。要做到这一点,必须让内部网只有在堡垒主机正常工作时才信任堡垒主机。我们要仔细观察堡垒主机提供给内部网的服务,并依据这些服务的主机内容,确定这些服务的可信度及拥有权限。另外,还有很多方法可用来加强内部网的安全性。比如:能够在内部网主机上操作控制机制(设置口令、鉴别设备等),或者在内部网

6、与堡垒主机间设置包过滤。3、特殊的堡垒主机资料内容仅供您学习参考,如有不当或者侵权,请联系改正或者删除。大多数的堡垒主机均是子网过滤上的过滤主机或其它提供安全服务的主机,另外还有几种在配置上类似、但又有特别功能的堡垒主机。无路由双宿主主机无路由双宿主主机有多个网络接口,但这些接口间没有信息流。这种主机本身就可作为一个防火墙,也能够作为一个更复杂防火墙结构的一部分。无路由双宿主主机的大部分配置类似于堡垒主机,但我们后面将讨论到,须确保它没有路由功能。如果某台无路由双宿主主机就是一个防火墙,配置上要考虑得较为

7、周到,同时小心地运行堡垒主机上的例行程序。牺牲主机有些有户可能想用一些无论使用代理服务还是包过滤都难以保障安全的网络服务或者一些对其安全性没有把握的服务。针对这种情况,使用牺牲主机就非常有效。牺牲主机是一种在上面没有任何需要保护信息的主机,同时它又不与任何入侵者想利用的主机相连。用户只有在为使用某种特殊服务时才用到它。牺牲主机除了可让用户随意登录外,其配置基本上与一般的堡垒主机一样。用户总是希望在堡垒主机上存有尽可能多的服务与程序。但出于安全性的考虑,我们不可随意满足用户的要求,也不能让用户在牺牲主机上进

8、行任何操作,否则会使用户越来越信任牺牲主机而违反设置牺牲主机的初衷。牺牲主机的主要特点是它易于被管理,即使被侵袭也无碍内部网的安全。内部堡垒主机在大多数配置中,堡垒主机可与某些内部主机进行交互。比如,堡垒主机可传送电子邮件给内部主机的邮件服务器、传送Usenet新闻给新闻服务器、与内部域名服务器协调工作等。这些内部主机其实是有效的次级堡垒主机,资料内容仅供您学习参考,如有不当或者侵权,请联系改正或者删除。对它们就应像保护堡垒主

当前文档最多预览五页,下载文档查看全文

此文档下载收益归作者所有

当前文档最多预览五页,下载文档查看全文
温馨提示:
1. 部分包含数学公式或PPT动画的文件,查看预览时可能会显示错乱或异常,文件下载后无此问题,请放心下载。
2. 本文档由用户上传,版权归属用户,天天文库负责整理代发布。如果您对本文档版权有争议请及时联系客服。
3. 下载前请仔细阅读文档内容,确认文档内容符合您的需求后进行下载,若出现内容与标题不符可向本站投诉处理。
4. 下载文档时可能由于网络波动等原因无法下载或下载错误,付费完成后未能成功下载的用户请联系客服处理。